wurde mein Postfach gehackt?

[Andy Rue]

hallo ihr,

ich habe heute eine email (zu meinem web.de emailkonto) bekommen, in der mir ein hacker mitteilt, dass er mein system gehackt hat, was mir erst mal kein kopfzerbrechen bereitet hat, ich zitiere aus der email:

____________________
Hi there!
I am a professional hacker and have successfully managed to hack your operating system.
Currently, I have gained full access to your account.
In addition, I was secretly monitoring all your activities and watching you for several months.
The thing is, your computer was infected with harmful spyware due to the
fact that you had visited a website ....
___________________

eine sache hat mich stutzig gemacht: normalerweise klicke ich bei einer solchen email auf 'antworten' weil ich dann sehe, wer die email wirklich versendet hat, und dieses mal ist tatsächlich meine emailadresse unten aufgetaucht, was die vermutung bringt, der typ könnte sich in mein email-postfach eingeloggt haben um mir dann selbst diese email zu senden, siehe unten:

_________________________________________________________
Gesendet: Montag, 20. März 2023 um 23:05 Uhr

Von: *meine_email_adresse *@web.de
An: *meine_email_adresse *@web.de
Betreff: Your personal data has leaked due to suspected harmful activities. #463014
Hi there! .......
_________________________________________________________

meine frage: muss ich mir sorgen machen, oder gibt es einen trick, wie er das sonstwie hingekriegt hat?

bisher habe ich - wenn ich irgendwelche phising emails bekommen habe - über die antwortfunktion immer die adresse des absenders gesehen, was dann sofort entlarvend war. was ist hiervon zu halten?

danke für evt. antworten, andy

 

[TheZonk88]

Nein, standard spam.
Stichwort spoofing https://de.wikipedia.org/wiki/E-Mail-Spoofing

Anstatt auf "Antworten" kann du auch einfach auf "Mehr Informationnen" bzw " Erweiterte E-Mail-Informationen" klicken, via Weboberfläche deines Accounts, um zu sehen wer oder was dahinter steckt.

 

[fuchen]

ist normaler Spam, gerade aktuell bei web.de und gmx.de werde ich von der Verwandtschaft häufiger gefragt, scheint also eine Welle zu sein
Ignorieren, löschen, weitermachen

 

[bondki]

Immer wieder erstaunlich, wie viele Leute auf offensichtlichen Spam herein fallen

 

[.one]

Absender sperren, Email vergessen. Je nach Client aufpassen, dass du nicht deine eigene Adresse sperrst.

Zeig mal den Header.

 

[BFF]

Es ist Spam/Scam

@Andy Rue
Such einfach mal nach dem Text in der Mail per Suchmaschine Deiner Wahl.
Wirst feststellen das der Hacker sehr fleissig ist solch Art Mails zu versenden.

Es kann fast alles in den Adressangaben einer Mail gefaelscht/veraendert werden.
Deine Mailadresse wird irgendwo abgezogen worden sein und wird nun benutzt.
Das der Dich per Webcam beobachtet hat beim Haendewaschen glaubst Du ja auch nicht.

Also hau das Teil weg.

 

[.one]

Deine Mailadresse wird irgendwo abgezogen worden sein und wird nun benutzt.

Das muss nicht so dramatisch sein. Recht bekannte Email-Adressen sind davon so oder so betroffen und da wurde nichts "abgezogen". So was filtert man dann einfach auf dem Server weg, was dem TS allerdings leider nicht möglich sein dürfte.

Ich bekomme auch noch hin und wieder Emails von mir selbst, weil ich ja wieder beim onanieren erwischt wurde und doch bitte BTC irgendwo hinschicken mag. Mit einem anständig gepflegtem Filter ist so Krams aber schnell bei null.

Mit sowas muss man aber leben, wenn man nicht bereit ist, wenig Geld im Jahr für eine Domain zu zahlen um eben dort anders Filtern zu können und nicht nur im (Web-)Client.

Und web.de... Na komm. Da würde ich mal so gar nichts erwarten. Weg da und nichts von United mehr nehmen.

 

[Tuetensuppe]

Die wollen damit Bitcoins erpressen ...

Gib doch einfach den Text in Google ein ;-)

 

[zak1976]

Du musst dir einfach nur den Email Header mal genau anschauen, dort findest Du die Absender Email, es ist ein leichtest die Reply oder From Informationen einer Mail zu ändern, deshalb erscheint auch evtl. deine Email Adresse.
Schau einfach mal wie Du dir mit deinem Email Client den Header anschauen kannst und gehe das mal durch, dann wird einiges klarer, auf keinen Fall solltest Du hier reagieren, im schlimmsten Fall das Passwort deines Account ändern.

 

[BFF]

Die Absendermail ist ja gefaelscht. Angeblich kommt die Mail ja vom TE. @zak1976

Es gibt nur ganz ganz wenig was im Mailhaeder nicht gefaelscht werden kann.
Das waeren die Angaben zur Transportkette weil nicht vom Sender beinflussbar.

 

[zak1976]

Im Header siehst Du jeden Weg und auf jeden Fall die "Ausgangs-Email" Adresse und über welche Server die Email ging.

Ergänzung (21. März 2023)

Den Header einfach mal hier oder hier hereinkopieren und schauen:
https://mxtoolbox.com/EmailHeaders.aspx
https://mha.azurewebsites.net

Als "einfaches" Analysemittel...

 

[tollertyp]

Klar, der hat sich dich so gut getrackt und gemonitort, dass er nicht in der Lage ist, ein plausibles Beispiel zu nennen?

 

[zak1976]

Was auch immer Du damit sagen willst ???

 

[BFF]

Ich will ja ohne die Mailhaeder des TE zu kennen nicht streiten. @zak1976

Aber als bei meiner SpamTrap-Adresse so eine Mail einging, war der Absender und die Antwortadresse meine SpamTrap-Adresse, die Absende-IP 127.0.0.1. Der SMTP-Server der die Transportkette ausloeste war einer von Yandex in Russland. Dessen IP ist der Anfang der nichtfaelschbaren Angaben.

 

[zak1976]

Streiten will ich auch nicht, sondern eher helfen und dazu sind die Links von mir ein guter Ansatz, wenn man den Komplexen Header nicht "lesen" kann. Dort wird die ID ausgegeben, also die ID des Absenders, das kann gegen einen "echten" Header, also von einer selbst versendeten Email geprüft werden, dann siehst Du auf jeden Fall die Absender IP, auch die kann geprüft werden, ob dies z.B. zu GMX gehört, usw. ist zwar etwas arbeit aber schon recht leicht zu erkennen was da abläuft, localhost Angabe, sind SOFORT ein hinweis darauf, das etwas manipuliert wurde, habe ich zwar so noch nicht gesehen, aber als Absender IP, ist sofort klar, das das nicht von deinem Email Provider kommen kann.

Ich bin da zwar mehr im MS Exchange Umfeld unterwegs aber im Header siehtst Du eigentlich immer sofort, ob das ein Fake ist, wenn ok, kann der Threadsteller ja gerne mal den Header Posten (obwohl ich das hier nicht machen würde)...!!!

@BFF
wenn das wirklich so war, würde ich mir mal Gedanken machen, im Prinzip hat also dein Client eine Mail versendet und der Server wäre dein Client, also das geht etwas vor, was darauf hindeutet, das sich da was eingeschlichen hat, ohne weiteres zu kennen...

 

[.one]

Im Header siehst Du jeden Weg und auf jeden Fall die "Ausgangs-Email" Adresse und über welche Server die Email ging.

Nein.

 

[BFF]

ein hinweis darauf, das etwas manipuliert wurde

Dazu braucht es den Headercheck nicht. Das die Mail angeblich von sich selbst kam ist der beste Hindweis das manipuliert wurde. Dazu noch ein wenig nach lesen/fragen und schon ist die Geschichte durch.

Header Check ist ok, wenn man mit den Angaben was anfangen will. Lokal nutzbare Erkenntnisse sind kaum zu erwarten. Faehrt man eigene Mailserver sieht es etwas anders aus. Hat der TE aber wohl nicht.

Anyway.

Mail bei Web.de als Spam markieren oder lokal loeschen und gut ist.

 

[zak1976]

@BFF
sagte ich doch ...
@.one
bitte erklären ...
(ok, zumindest die Postfach ID, damit kann die Mail Adresse beim Provider ermittelt werden, oder selbst abgleichen, ob die der Eigenen Postfach ID entspricht)

Ergänzung (21. März 2023)

Sei es drum...
@Andy Rue
Kleiner Tip:
wechsel regelmäßig deine Kennwörter bei "wichtigen" Diensten, also Email und Zahlungsdienstleistern, usw, IMMER sichere Kennwörter verwenden und wo es geht, also z.B. Paypal, Ebay, Banken, würde ich IMMER MFA oder 2-Faktor Authentifizierung einrichten/nutzen, Beispiele im Netz, für sichere Kennwörter gibt es "genug", sollte dann für eine Privatanwender ausreichend sein.

 

[Andy Rue]

erst mal dank an alle. ich habe nun tatsächlich den kleinen button 'weitere informationen' bei der email (die von web.de ohnehin ins spam-fach geschickt wurde) angeklickt.

gleich oben steht bei 'return-path' eine emailadresse (***.s-web.eu), ich vermute mal, das ist die richtige absenderadresse, die seite ist einer *.eu seite zugeordnet, ich wollte die seite aufrufen, aber firefox lieferte kein ergebnis: seite konnte nicht gefunden werden.

noch mal danke an euch alle,

andy

hier noch der header, habe personenbezogene infos durch ** ersetzt,

Erweiterte E-Mail-Informationen​

Return-Path: <**@s-web.eu>
Authentication-Results: web.de; dkim=none
Received: from smtprelay05.ispgateway.de ([80.67.18.28]) by mx-ha.web.de (mxweb110 [212.227.17.8]) with ESMTPS (Nemesis) id 1Mduuq-1qF6663rBW-00b7Mq for <andy***@web.de>; Mon, 20 Mar 2023 23:10:04 +0100
Received: from [58.186.84.139] (helo=smtp.s-web.eu) by smtprelay05.ispgateway.de with esmtpsa (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (Exim 4.94.2) (envelope-from <@s-web.eu>) id 1peNhc-0000ah-7g for andy*@web.de; Mon, 20 Mar 2023 23:10:04 +0100
Reply-To: andy**@web.de
From: andy**@web.de
To: andy**@web.de
Subject: Your personal data has leaked due to suspected harmful activities. #463014
Date: 20 Mar 2023 15:05:03 -0700
Message-ID: <20230320150503.5848CBCCB91ABF1C@web.de>
MIME-Version: 1.0
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable
X-Df-Sender: dGhvbWFzLnN0b2NrQHMtd2ViLmV1
Envelope-To: <andy**@web.de>
X-Spam-Flag: YES
UI-InboundReport: junk:10;M010qoNDfBVUbk=;NNracRN8lgoxJJhXEsIqE56YXcOnfH ARvZLBG0nQ1e7l+vDdvZHINtOqRfOLvuCP+ZWnRfFAeJMHLIp/B9QTj .....

 

[BFF]

Aus Vietnam.

Ob da der Scammer sitzt oder nur Accounts/Server dort missbraucht? 🤷‍♂️

Die Return ist definitiv nicht die wirklich echte Absendeadresse.
Das kann/wird ein Account sein der uebernommen wurde. Oder eigens dafuer angelegt.
Schliesslich braucht es ja etwas falls Du loehnen willst.

Wie schon getippt. Es ist Spam/Scam und gehoert in den Muellkuebel.